Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
Cyber Resilience

Comment atténuer les risques dans un réseau plat - le paradis des attaquants

Illumio Editorial
Avril 2, 2019
23 min. lire

Cet article a été publié à l'origine sur Forbes.com.

Les réseaux plats sont devenus si répandus parce qu'ils sont généralement simples à concevoir, peu coûteux à construire et faciles à exploiter et à entretenir. Cependant, il s'avère que les acteurs malveillants aiment aussi les réseaux plats. En effet, dès qu'un seul hôte d'un réseau plat est compromis, l'intégrité du reste du réseau commence à ressembler à un château de cartes. Une fois qu'une entreprise a été pénétrée, le réseau plat offre à l'invité indésirable un accès illimité au réseau pour scanner, identifier et cibler les actifs de grande valeur. Malheureusement, de nombreuses organisations ne parviennent pas à atténuer ou même à reconnaître pleinement ces risques.

Les risques de sécurité d'un réseau plat

Les organisations ont tendance à se concentrer principalement sur la sécurisation des défenses périmétriques de leur réseau. Cependant, les investissements dans la sécurité périmétrique ne peuvent pas tout faire. Selon le rapport 2018 de Verizon sur les violations de données, 2 216 violations ont été confirmées l'année dernière. Le rapport indique que 73% de ces violations ont été perpétrées par des acteurs extérieurs. Le piratage et les logiciels malveillants restent très répandus.

Ces statistiques soulignent que malgré tous nos efforts pour sécuriser le périmètre avec des "murs" toujours plus solides et plus hauts, ces mesures n'empêchent pas les mauvais acteurs d'être tenaces et de disposer de toutes les capacités et ressources nécessaires pour s'introduire dans un réseau. Un nouvel état d'esprit est nécessaire. Vous devez "assumer la violation", ce qui implique de partir du principe que les défenses de votre réseau seront compromises. En outre, si votre réseau est plat, les acteurs malveillants peuvent utiliser un seul système ou dispositif compromis - la tête de pont - comme rampe de lancement pour se déplacer latéralement à travers votre réseau en direction de vos actifs les plus précieux.

Dans un réseau plat, votre politique par défaut est d'autoriser tous les appareils et applications à communiquer entre eux, ce qui complique la tâche des services de sécurité pour déterminer quelles connexions et quels flux de données sont légitimes. " Par exemple, un ordinateur portable fourni par le bureau est capable de se connecter aux serveurs d'impression de l'entreprise et de communiquer avec eux à l'adresse "afin que vous puissiez imprimer rapidement et facilement un document - ce type de connexion est plat. Le téléphone IP de votre bureau peut se trouver sur le même réseau plat, mais est-il logique que ce téléphone IP communique avec ces serveurs d'impression ? Les systèmes de sécurité ont du mal à détecter si ce trafic et ces connexions sont anormaux et pourraient être des indicateurs d'une violation.

Les réseaux plats facilitent également la dissimulation des attaquants qui tentent de traverser discrètement le réseau. Cette période de temps - connue sous le nom de "dwell time" - s'élève en moyenne à 101 jours au niveau mondial. Et il n'est pas nécessaire de remonter très loin dans le temps pour trouver des attaques retentissantes où les pirates sont restés indétectés pendant bien plus longtemps, jusqu'à plusieurs années.

Les menaces peuvent également venir de l'intérieur

Les réseaux plats constituent également un terrain de jeu potentiel pour les initiés malveillants (potentiels). La première chose qu'un initié essaiera de faire est de rassembler plus d'informations d'identification ou d'utiliser les autorisations élevées dont il dispose pour accéder à des systèmes qui ne relèvent pas de son rôle. L'authentification à deux facteurs (2FA) ou l'authentification multifactorielle (MFA) sont des réponses solides pour lutter contre le vol d'informations d'identification entre les mains des utilisateurs.

Cependant, les appareils mobiles et machine à machine (M2M) sont les deux principales raisons de l'augmentation du trafic de données au sein de votre réseau et de tous les autres réseaux. De plus en plus de systèmes d'entreprise doivent interagir les uns avec les autres, et ce type de trafic nécessite une authentification, qui ne peut pas être simplement résolue par le 2FA ou le MFA. Ce problème se pose pour toute une série d'appareils connectés et met en péril des actifs critiques tels que les référentiels de données des clients et les systèmes de paiement.

Comment réduire les risques dans un réseau plat ?

Comme je l'ai mentionné plus haut, vous devez commencer par adopter la mentalité suivante : "assume breach". Tôt ou tard, même les meilleures défenses périmétriques seront percées. Cet état d'esprit vous permet de penser comme un attaquant et permet au RSSI de poser des questions pertinentes, comme par exemple :

  • Quels sont nos actifs de grande valeur vers lesquels un pirate va essayer de naviguer une fois qu'il aura pris pied dans notre réseau ? 
  • Qu'avons-nous mis en place pour empêcher la libre circulation et la persistance d'un attaquant au sein de notre réseau plat ?

Si la réponse est "rien" ou - ce qui est peut-être tout aussi grave - "une poignée de pare-feu et de VLAN", le RSSI sait qu'il doit prendre des mesures pour réduire ce risque.

  1. Identifiez vos actifs les plus importants: Bien que cela puisse sembler évident, la classification de vos actifs de grande valeur peut varier selon la personne à qui vous posez la question. C'est pourquoi il est important de réunir les principales parties prenantes (c'est-à-dire votre RSSI, les équipes juridiques et financières, etc.) pour cartographier le risque des actifs et des applications au sein de l'infrastructure de l'entreprise. Un bon moyen d'y parvenir est de s'appuyer sur le cadre de cybersécurité du NIST (CSF).
  2. Déterminez la meilleure protection ou le meilleur contrôle: La protection d'un joyau de la couronne passe par de nombreux niveaux, notamment la gestion des identités et des accès (IAM), la gestion des vulnérabilités et la segmentation. La segmentation est un contrôle qui s'inscrit dans le cadre du NIST CSF - elle garantit que les applications ne sont accessibles qu'à partir de dispositifs autorisés et que ces dispositifs n'ont accès qu'à des processus d'entreprise spécifiques sur les applications critiques.
  3. Identifier les solutions potentielles: La détermination d'un ensemble de solutions commence par l'identification des principales parties prenantes (par exemple, l'ingénierie de la sécurité, l'ingénierie du réseau et les équipes d'application, etc. Je leur recommande vivement d'étudier les différentes approches de segmentation des différents fournisseurs et de garder à l'esprit que la segmentation est un marché émergent.

En définitive, la popularité des réseaux plats ne cesse de croître et, malheureusement, l'appétit des attaquants malveillants aussi. Il s'agit là d'un mélange dangereux. La première étape consiste à reconnaître les risques liés aux réseaux plats. Le passage à un état d'esprit "assumer la violation" donne le coup d'envoi au processus d'atténuation de ce risque. Enfin, la mise en œuvre d'une stratégie de confiance zéro - qui part du principe que vous avez déjà été victime d'une intrusion, mais que vous ne le savez pas encore - permet de s'assurer que les organisations dotées de réseaux plats ne deviennent pas des terrains de jeu pour les attaquants.

Sujets connexes

No items found.

Articles connexes

Opérationnalisation de la confiance zéro - Etapes 2 et 3 : Déterminer sur quel pilier de la confiance zéro se concentrer et spécifier le contrôle exact
Cyber Resilience

Opérationnalisation de la confiance zéro - Etapes 2 et 3 : Déterminer sur quel pilier de la confiance zéro se concentrer et spécifier le contrôle exact

La protection de la charge de travail englobe de nombreuses capacités de sécurité, y compris, mais sans s'y limiter, la sécurisation et la correction efficaces du système d'exploitation et de toutes les applications installées, les contrôles de protection contre les menaces basés sur l'hôte tels que l'antivirus, l'EDR, la surveillance de l'intégrité des fichiers, le pare-feu basé sur l'hôte, etc.

Read more
L'histoire - et les défis - des pare-feu de nouvelle génération
Cyber Resilience

L'histoire - et les défis - des pare-feu de nouvelle génération

Découvrez l'impulsion donnée par les pare-feu de nouvelle génération (NGFW), les défis qu'ils posent en termes de complexité et les innovations futures possibles.

Read more
Renforcer la cyber-résilience ? Utilisez le cadre MITRE ATT&CK comme étoile polaire.
Cyber Resilience

Renforcer la cyber-résilience ? Utilisez le cadre MITRE ATT&CK comme étoile polaire.

Nick Carstensen, expert en équipe bleue, explique comment le cadre MITRE ATT&CK peut aider votre organisation à renforcer sa cyber-résilience.

Read more
No items found.

Supposons une rupture.
Minimiser l'impact.
Augmenter la résilience.

Vous souhaitez en savoir plus sur la segmentation zéro confiance ?

Learn more